L’inarrestabile diffusione di internet ha coinvolto a tal punto ogni
aspetto delle nostre vite che ormai qualsiasi tipo di azienda o ente
collettivo, a prescindere dalle dimensioni o dal settore di attività,
per restare al passo con l’era della tecnologia, si è dotato di sistemi e
apparecchiature informatiche.
L’apertura dei sistemi di informazione all’universo digitale ha
portato, come diretta conseguenza, una crescente necessità di
adeguamento delle misure di sicurezza, atte a salvaguardare i dati e le
informazioni aziendali. Di questo passo sicurezza informatica e d.lgs.
231 sono divenuti parte di un binomio inscindibile, alimentando un
dibattito che da un lato analizza le diverse tipologie di reato e
dall’altro cerca di fornire soluzioni concrete per prevenire gli abusi.
La questione risulta più che mai complessa, soprattutto se si considera
la stretta connessione che esiste tra il decreto 231, la normativa in
materia di privacy e quella relativa allo Stato dei Lavoratori.
La Legge 48/2008, con cui è stata ratificata la Convenzione di
Budapest del Consiglio d’Europa sulla criminalità informatica del 23
Novembre 2001, ha apportato diverse modifiche sia al Codice Penale che a
quello di Procedura Penale, modificando inoltre l’art. 24 del d.lgs.
231/01 a cui ha aggiunto l’art. 24 bis (Delitti informatici e
trattamento illecito di dati quali reati presupposto) che inserisce
numerosi reati informatici fra quelli presupposti dal decreto in
questione. Accesso a sistema informatico o telematico, intercettazione,
impedimento e interruzione illecita di comunicazioni informatiche o
telematiche, danneggiamento di informazioni dati programmi sistemi
informatici o telematici, trattamento illecito dei dati e violazioni
connesse alla legge a tutela del diritto d’autore sono solo alcuni dei
reati introdotti. Per orientarsi con maggiore facilità in questa
articolata normativa, sono stati individuati tre diversi gruppi di
reati, all’interno della Legge 48/2008.
a) articoli 615 ter, 617
quater, 617 quinquies, 635 bis, 635 ter, 635 quater e 635 quinquies
C.P.. I reati di questa categoria riguardano il danneggiamento di
hardware, di software e di dati: è prevista la punizione per l´accesso
abusivo ad un sistema e l´intercettazione o l´interruzione di dati
compiute attraverso l´installazione di appositi software o hardware e
viene considerata aggravante la commissione degli stessi reati in
sistemi informatici di pubblica utilità;
b) articoli 615 quater e 615
quinquies C.P.: tali articoli puniscono la detenzione e la diffusione
di software e/o di attrezzature informatiche atte a consentire la
commissione dei reati di cui alla precedente lett. a);
c) articoli
491 bis e 640 quinquies C.P. Considerano la violazione dell´integrità
dei documenti informatici e della loro gestione attraverso la
falsificazione di firma digitale (elettronica).
Una prima analisi è
sufficiente per cogliere la forte relazione tra i differenti reati i
quali, considerati nel complesso, rivelano la mancanza di sistemi che
assicurano una sicurezza completa e totale sui diversi fronti.
Purtroppo
la regola d’oro del “prevenire è meglio che curare” troppo spesso
rimane inascoltata e mentre le prevenzioni connesse ai reati societari o
contro le PA, piuttosto che quelli legati alla sicurezza sui luoghi di
lavoro, risultano questioni molto sentite e altamente valorizzate, per
l’analisi dei reati informatici lato 231 si riscontra una preoccupante
mancanza di attenzione. Eppure la posta in gioco è davvero alta se si
considera il fatto che l’intera vita aziendale, in tutti i suoi aspetti,
è condizionata – più o meno direttamente - dai sistemi informatici.
La
messa in sicurezza di un sistema passa innanzitutto dalla mappatura
delle aree a rischio. Le prime azioni da intraprendere coinvolgono
sistemi ICT aziendali e posta elettronica, punti deboli comuni a
qualsiasi reparto per poi coinvolgere la gestione dei documenti
informatici, dei dati riservati e sensibili o delle credenziali di
accesso ai sistemi, altri aspetti da non sottovalutare nella redazione
di un modello organizzativo finalizzato alla gestione dei rischi. Fatto
questo il passo successivo è la definizione dei protocolli
penali-preventivi redatti nel rispetto della normativa vigente. Definire
e rendere note specifiche deleghe nelle differenti aree aziendali,
nominando un amministratore di sistema e i suoi collaboratori
specificandone ruolo, poteri e responsabilità dei singoli soggetti è
essenziale per mettere in atto un’organizzazione puntale. La
proceduralizzazione delle attività informatiche e di tutte quelle
attività da considerarsi a rischio-reato, svolte con l’ausilio o per
mezzo di strumenti informatici è l’ultima fase del processo.
E’
opportuno sottolineare che fare prevenzione in ambito di applicazione
231 non si limita a mettere in atto delle procedure ma prevede anche
l’assunzione di norme comportamentali, collegate sia all’applicazione
delle normative in materia di privacy, che alla gestione delle licenze
che all’adozione di un regolamento informatico aziendale.
Una
formazione interna chiara e puntuale centrata sulla portata normativa ma
ancor più sull’applicazione concreta delle procedure è il migliore
strumento per prevenire i reati. Purtroppo molto spesso le aziende sono
inconsapevoli dello spessore e dell’importanza rivestita da un modello
231 e la diffusione in rete di prodotti preconfezionati, realizzati
senza tener conto delle specificità di ciascuna azienda, non ha fatto
che accrescere il problema portando, in alcuni casi, a far decadere
integralmente la validità del modello. Per evitare tutto questo è
fondamentale attribuire la giusta attenzione al modello 231 affidandosi
alla professionalità di un responsabile di sicurezza informatica in
grado di interpretare le esigenze aziendali e di congiungere
ottimizzazione organizzativa ad un’attività di prevenzione dei reati
Fonte: Consulente Legale Informatico - Avv. Valentina Frediani
Nessun commento:
Posta un commento